» Общие вопросы про AD (Active Directory)

gorg

Цитата:

.....юзер зайти не смог так как забыл пароль.....

FreemanRU прав:

Цитата:

....Active Directory User and Computer->_User_->Правой кнопкой мыши->Change Password...

Этого вполне должно было хватить.

А вообще, совет на будущее:
Такого быть не должно у админа. AD ты же ведешь.
Заведи себе папку (блокнот, книжку. тетрадку.....), где и будешь вести всё, что для тебя нужно (IP-адреса, логины, пароли, структуру сетки и т.д.). Я этим пользуюсь постоянно. В твоем случае, при забывчивости юзера, ты бы просто ему назвал бы "волшебные" буквы и цифры, и всё - проблемы нет. Удачи.

FreemanRU
Папка не создаеться даже когда в Пути профиля ставить переменную %username% глюканула активка!!! Приходиться их в ручную создавать и в присваевать права нужному пользователю, на нужную папку!

А то что с нужно было воспользоваться правой кнопкой мыши, я согласен погарячился!!!

Ну чего теперь даже рабочий стол настроить под этой учетной записью нельзя и когда на "Пуск" нажимаешь там вообще все пусто, где "программы", " панель управления" и т.д???

gorg

Цитата:

Папка не создаеться даже когда в Пути профиля ставить переменную %username%

А ты с правами на NTFS через AD не баловался?

Цитата:

Ну чего теперь даже рабочий стол настроить под этой учетной записью нельзя и когда на "Пуск" нажимаешь там вообще все пусто, где "программы", " панель управления" и т.д???

Оч. похоже, что наложены ограничения через AD. Опять же, проверь NTFS разрешения. У пользователя должны быть полные права на папку профиля и он должен быть её владельцем.

gorg
FreemanRU
Ничего, если я опять вмешаюсь?

gorg
Попробуй так:
1. Удали учетные записи на серваке (и компа, и юзера)
2. Зайди на комп админом и удали юзера на компе. Если останется папка с профилем, снеси нафиг.
3. Подключай по новой комп к домену с созданием для него на серваке уч. записи (автоматом)
4. Заведи на контролере домена уч. запись юзера
5. Входи в домен с записью юзера.

А для проверки сначала можешь попробовать создать на компе нового юзера (любого) и зайти с его именем не в домен.

gorg

Цитата:

но теперь под его учетной записью на клиентской машине даже рабочий стол настроить нельзя!!! Файл NTUSER.Dat я не трогал!!! Переустановил с нуля винду, тоже самое, удалил папку с его профилем, создал новую, тоже самое. Что делать?

уж очень похоже на политики "перекрученные". С первого взгляда...
я б первым делом покопался в: правой кнопкой по OU, где этот пользователь\свойства\групповые политики...

FreemanRU

Цитата:

Опять же, проверь NTFS разрешения. У пользователя должны быть полные права на папку профиля и он должен быть её владельцем.

и если это не выполняется, юзер заходит в локальную копию профиля или не заходит вообще, смотря как настроены политики домена...не вижу прямой связи профиля и :

Цитата:

"Пуск" нажимаешь там вообще все пусто, где "программы", " панель управления" и т.д?

gorg

Цитата:

Я на контролере удалил его учетную запись, создал ее заново,

кроме этого юзера в OU есть кто нить ? У них все нормально ?

G14

Цитата:

.....не вижу прямой связи профиля и :............

Полностью поддерживаю. Поэтому и предложил для начала ОС на компе проверить на локальном юзере.

ZUMR

gorg

Цитата:

Переустановил с нуля винду, тоже самое, удалил папку с его профилем, создал новую, тоже самое.

то есть дело имхо не в локальной системе. локально наверняка войдет без проблем, при входе в домен отработают политики и все повторится....
я б создал нового юзера в другой OU и попробовал.... или (что лучше) искал бы в политиках "перегибы"....

кстати:
gorg
локально входить пробовал на проблемную машину ?

G14

Цитата:

gorg
.......локально входить пробовал на проблемную машину ?......

Вот-вот.
gorg
Именно после установки Винды с нуля, когда машина еще не включена в домен?
Тут есть затыки?

ZUMR

Цитата:

Именно после установки Винды с нуля, когда машина еще не включена в домен

не обязательно...достаточно войти под админом на эту машину, создать локального юзера и попробовать войти локально...

G14

Цитата:

не обязательно...

Согласен. Но я имел ввиду его случай для чистоты эксперимента.

ZUMR
G14

Цитата:

не вижу прямой связи профиля и

Вы чего? Если у него ограничения в политике, то есть вариант что он не только Панель управления, он даже Пуск не увидит

PS
Вы бы хоть его дождались, прежде чем догадки строить

Да у остальных все нормально, пользователь имеет полный доступ на папку со своим профилем, иначе б профиль не сохранялся, "локальный пользователь" на проблемной машине пробывал все отлично работает, осталось в политиках покопаться, но врядли там что то ведь все остальные с этими политиками работают и ничего подобного нет.


Да, а почему Активка автоматом не создает папку профиля для пользователя, ведь я указываю путь через %username%? она должна автоматом создавать папку с именем это юзера и предоставлять ему полный доступ и право владельца, а у админу домена не предоставлять этого!!! А мне приходиться в ручную и папку создавать и называть и права раздавать!
Из учебного курса MCSE :Если вы задаете имя папки на томе NTFS с помощью переменной %username%, пользователь получает для нее разрешение Full Control. Все другие разрешения для этой папки удаляються, в том чмсле и права для учетной записи Administrator.

gorg

Цитата:

Да, а почему Активка автоматом не создает папку профиля для пользователя, ведь я указываю путь через

Лучше вообще ничего не указывать, если пы по default хочешь все оставить...

FreemanRU
Смеешься!!!
А ведь ведь если читать как здесь сказано "Если не получается с первого раза - прочти инструкцию. (с) Чьё-то" то в инструкции написано следующее
Цитата:

Из учебного курса MCSE :Если вы задаете имя папки на томе NTFS с помощью переменной %username%, пользователь получает для нее разрешение Full Control. Все другие разрешения для этой папки удаляються, в том чмсле и права для учетной записи Administrator.

и папка при этом создаеться автоматически в папке с профилями и переименовываеться так же автоматически как и учетная запись для которой она создаеться

gorg

Цитата:

Да у остальных все нормально.....

Вот и удали проблемного юзера с локалки, а потом создай его же по-новой (комп на входе в домен). В этом случае новый доменный профиль автоматом создатся.

Цитата:

....а почему Активка автоматом не создает папку профиля для пользователя....

Так ты снес старый профиль с винта локалки?
Доменный профиль создастся только при первом входе юзера в домен, а потом будет там "лежать". Аналогично локалке.
Т.е. например, если у тебя юзер Иванов, а домен "Rabota", то у тебя создадутся два профиля;
1. Иванов - для входа в локалку без подключения к домену
2. Иванов.Rabota - для входа в домен.

gorg
Вот смотри, это реально работающий домен, и на всех так:

А в
Цитата:

Из учебного курса MCSE

ИМХО все мелочи не описаны. Это общее пособие, как и все курсы.

Цитата:

переименовываеться так же автоматически как и учетная запись для которой она создаеться

Это так. Но я еще не разу не переименовывал имя пользователя. Да и не применения у меня этому нет.

ZUMR
Да на оокальном компе снес и Иванов и Иванов.Rabota и на контролере снес все данные в папке его профиля!!!
А все равно и только на этой машине такая хрень!!!

Добавлено
FreemanRU
Интересная ситуация, а кудаж их перемещаемый профиль то сохраняеться???

gorg

Цитата:

Интересная ситуация, а кудаж их перемещаемый профиль то сохраняеться???

Дык я ж сказал - по default... А по умолчанию как раз перемещаемые профили не используются (оно мне и не надо).


Цитата:

А все равно и только на этой машине такая хрень!!!

Выводи комп из домена, мочи все профили, кроме админа (в том числе и default user), заводи обратно в домен и пробуй.

gorg

Цитата:

.....на контролере снес все данные в папке его профиля.....

Это надо все на локалке!!! Причем тут контролер?

Цитата:

....а кудаж их перемещаемый профиль то сохраняеться....

Это-то тебе щас на кой черт?
FreemanRU прав:

Цитата:

Выводи комп из домена, мочи все профили, кроме админа (в том числе и default user), заводи обратно в домен и пробуй

Я же тебе на предыдущей странице уже это рекомендовал.!!! Смотри внимательно.

FreemanRU

Цитата:

переименовываеться так же автоматически как и учетная запись для которой она создаеться

Цитата:

Это так. Но я еще не разу не переименовывал имя пользователя.

нет, папка профиля при переименовании имени пользователя или имени входа не переименовывается.

Цитата:

(в том числе и default user),

как тогда (из чего) создастся новый профиль ?

gorg
как именно (по возможности подробно) ты создавал и настраивал перемещаемые профили ? только писал путь в окошке выше и расшаривал папки ? шара при этом цепляется ? или политиками делал перенаправление папок ?

ZUMR
Ты тоже читай внимательно!!! На локальном компе сделал все что ты говорил!!! Снес все профили, кроме админа, вывел комп из домена и для подстраховки еще и все данные снес в папке \\Сервер\Профиль\Иванов. Короче ладно с этим пока покончим!!!
У меня другой вопрос На контролере домена еще и РОР3 и SMTP сервер поднят, который синхронизирован с AD, вроде бы руководство собираеться выделенку купить, вопрос в следующем можно ли на этой же машине ISA Server 2000 поставить, если нет то какой выход из положения и принцып его реализации?


Как будет себя вести постовый сервер обслуживающий внутрених клиентов из AD и почтовый сервер для внешних адрессов работающий в ISA Server 2000?

Добавлено
G14
Сначала создал папку " Профили" на контролере, расшарил ее, но группе "Пользователи " предоставляешь полный доступ к этой папке, а группе " Все" эго отменяешь, Потом открываешь свойства учетной записи юзера и начинаешь в строке путь к профилю писать следующее \\имя_сервера\имя_папки_профилей\%username%. Нажимаешь "Применить". Заходишь на диск где лежит папка с профилями, открываешь ее и там уже есть папочка с именем этого юзера, но ты в нее не можешь войти, так как переменная %username% обрезает всем все права кроме этого юзера, ты правой кнопкой на папку ->Свойства->Безопасность и учетной записи Админа выдаешь доступ и права владельца и все, юзер под контролем!!!
Ели хочешь оставить на его рабочем столе так как ты все настроил, находишь в папке с его профилем (это та о которой речь шла чуть выше) файл NTUSER.DAT и меняешь разрешение на MAN->NTUSER.MAN и все как бы он там не трепыхался при каждом его входе рабочий стол будет выглядить так как ты его настроил!!!
А политики я и не трогал для создания профилей!
Эдинственное что тебе нужно расшарить вручную это папка " Профили"!!!

gorg

Цитата:

Как будет себя вести постовый сервер обслуживающий внутрених клиентов из AD и почтовый сервер для внешних адресов работающий в ISA Server 2000?

?Ничего не понял... У тебя какой сервер? Exchange? И что ты подразумеваешь под "почтовый сервер для внешних адресов работающий в ISA Server 2000" ? но в любом случае это не сюда...


Цитата:

все данные снес в папке \\Сервер\Профиль\Иванов

А теперь перечитай все свои посты и скажи где до этого ты писал что у тебя перемещаемый профиль, а ? После этого ВНИМАТЕЛЬНО перечитай http://forum.ru-board.com/topic.cgi?forum=8&topic=5933&start=200#11 , и подумай, какие разрешения у тебя на твой профиль стоят, кто его владелец и пр.

FreemanRU
Дружище!!!
У меня Win2003 StdEd на ней поднята Активка и Почтовый сервер обслуживающий Активку( то есть - через 25 и 110 порты бегает почта обслуживающая адресса Активки), если на эту же машину поставить ИСА Сервер и в этом иса сервер поднять почтовый сервер, но который будет забирать и отсылать почту с внешних e-mailов конфликта не будет?

Описание ситуации:

есть сети около 100 компов, 2 контроллера домена (обе 2000), на главном стоят следующие сервисы: DHCP, DNS.

одна подсеть, нету субдоменов.



сделал следуюшее:

поставил на двух новых машынах 2003, прокотал adprep (forestprep, domainprep), нечего не ругнулась и все прошло гладко. закатал обе компа в домен как контроллеры.

DHCP, DNS перенес, сделал один 2003 главным контроллером (передал роли)

проблемы при удалении старых контроллеров (2000) с сети - конкретнее:

удалил бекапкотроллер - все ОК.

удалил праимари - ошибка при удалении и начился отчет - shut down.

стер везде где можно было стереть но при dcdiag говорит следующее:


------------------------------------------------------------------------------------
Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
......................... "имядомена" failed test FsmoCheck
------------------------------------------------------------------------------------

при попытке повысить функциональность до 2003 говорит:

To update the domain functional level, the domain controllers in the domain must be running the appropriate version of windows.

Domain Name
"имядомена"

Current domain functional level
Windows 2000 native

The following domain controllers are running earlier versions of windows:
Domain NameDomain ControllerVersion of Windows
"имядомена"fileserver2."имядомена"Unknown. The computer object may be damaged or missing.


может кто знает как исправить все это?

спасибо заранее.

sysge

Цитата:

fileserver2."

Это что за сервер? Система дмает что это DC. Это так?

Цитата:

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
A Global Catalog Server could not be located - All GC's are down.
......................... "имядомена" failed test FsmoCheck

А ты функции глобального каталога передал?

fileserver2 ето был глобальним каталогом (DC)

как это надо делать?

я включил галочку на новом контроллере что Global Catalog Server

sysge

Цитата:

fileserver2 ето был глобальним каталогом (DC)

а он живой? если нет, то тогда это означает что GC не перенесся...
так делал?

Он мёртв,

так не делал...

что можно сделать? вродебы новый сервак исполняет эту роль, а как проверить все ли работает?

sysge
А воостановть его никак? Если нет, ADSI Edit тебе в руки. Тока аккуратно.


Цитата:

вродебы

Не умею (некогда не делал)

может намикнеш где прочитать?